Неисправимая «дыра»
Эксперты Политехнического университета Милана и компаний Linklayer Labs и Trend Micro обнаружили серьезный недостаток в Controller Area Network (CAN) - протоколе обмена данными внутри промышленных систем, являющимся стандартом для сегодняшней автомобильной автоматики.
Уязвимость позволяет при наличии физического доступа к автомобилю и его бортовой системе воздействовать на критические компоненты, вплоть до их отключения. Если в такой системе присутствуют какие-либо еще уязвимости, допускающие удаленную эксплуатацию (а они время от времени находятся), то отпадает и необходимость в физическом подключении.
CAN является стандартом, ориентированным, прежде всего, на объединение в единую сеть различных исполнительных устройств и датчиков. Будучи стандартом автомобильной автоматики, этот протокол в настоящее время также широко распространен в промышленной автоматизации, технологиях «умного дома».
Как утверждают исследователи, выявленная ими «уязвимость» является архитектурной особенностью CAN, поэтому исправить ее не представляется возможным без переработки самого протокола.
В чем состоит проблема
Исследователи описывают проблему следующим образом.
«Все сообщения внутри CAN, включая ошибки, обозначаются словом кадр (frame). Метод атаки, который мы описываем, сосредоточен именно на том, как CAN обрабатывает эти сообщения об ошибках. Ошибки возникают, когда устройство считывает величины, которые не отвечают ожидаемым значениям во фрейме. Когда устройство (компонент системы) обнаруживает подобное явление, оно записывает сообщение об ошибке в шину CAN с целью «отозвать» некорректный кадр и уведомить остальные компоненты системы о необходимости его игнорировать.
Подобное происходит очень часто, и, по большей части, в силу естественных причин, временных неисправностей или перегрузки сети, когда сразу множество компонентов пытаются отправлять сообщения одновременно.
Если устройство начинает отправлять слишком много ошибок, то, как диктует стандарт CAN, - оно уводится в режим "Bus Off", то есть отрезается от остальных компонентов CAN и лишается возможности считывать или отправлять какие-либо данные. Эта функция очень полезна, когда необходимо изолировать явно сбоящие устройства и заблокировать им возможность воздействовать на другие системы и модули CAN.
И именно эта особенность и используется при описанной нами атаке. Атака активирует данную функцию посредством наведения большого количества ошибок, достаточного для того, чтобы CAN перевела атакуемый компонент в режим Bus OFF и сделала его неактивным или неработоспособным.
Это, в свою очередь, может самым негативным образом сказаться на работе автомобиля - вплоть до того, что он становится опасным, даже смертоносным, особенно, когда отключаются критические компоненты, например, подушка безопасности или антиблокировочная система».
Несмотря на то, что уязвимость можно с гарантией эксплуатировать только при наличии у злоумышленника физического доступа к машине и наличию открытых портов в бортовой системе, ICS-CERT опубликовал специальный бюллетень, предупреждающий об угрозе.
Проблема стандарта
«CAN - весьма старый протокол: его разработали в начале восьмидесятых, а утвердили в качестве отраслевого стандарта в начале девяностых годов прошлого века, - говорит Георгий Лагода, генеральный директор компании SEC Consult Services. - В те времена ситуация с информатизацией промышленных сетей и автомобилей была совершенно иной, нежели сейчас, и представляения о кибербезопасности также заметно отличались от сегодняшних. Но времена меняются, и казавшиеся приемлемыми и логичным архитектурные решения той поры сегодня становятся фактическими уязвимостями».
Лагода отметил, что подобные ситуации стали регулярной проблемой для промышленных предприятий, особенно старых, чья защищенность от кибератак не отвечает сегодняшним стандартам.
Автомобильную отрасль эта проблема тоже затронула: при всем стремлении к современности, автопроизводители вынуждены использовать стандарт сорокалетней давности, - говорит Лагода. - Решить проблему с CAN возможно только путем принятия нового стандарта автомобильной автоматики. Пока же остается только усиливать контроль за общей защищенностью компонентов бортовых систем.
ICS-CERT рекомендует - правда, только в долгосрочной перспективе, - переработать существующие или выработать новые стандарты создания автомобильной автоматики. Такой процесс явно займет годы, даже если он вообще будет запущен в ближайшее время.
Поделиться
